Из С+ в Delphi, Требуется небольшая помощь

mikepit81 · 22.03.2012

Из С+ в Delphi, Требуется небольшая помощь

Есть кусок программы, написанный на С++. Помогите написать такой же на Delphi.

Нам нужно найти в памяти kernelbase.dll, просканировать таблицу импорта, найти адрес импортируемой функции CsrClientCallServer и подменить его новым указателем на заранее подготовленную функцию CsrClientCallServer, которая всегда будет возвращать «успех».

Код:

ULONG NewCsrClientCallServer(PVOID Arg1, PVOID Arg2, ULONG Arg3, ULONG Arg4)
{
       *( DWORD *)(( BYTE *)Arg1 + 0x20 ) = 0;
       return 0; 
}

...
DWORD ImportAddress, OriginalCsrClientCallServer, OldProtect;
  ImportAddress = GetImportAddressFromIat(GetModuleHandle("kernelbase.dll"), "CsrClientCallServer");
  VirtualProtect(( VOID *) ImportAddress, sizeof(DWORD), PAGE_EXECUTE_READWRITE, &OldProtect);
  OriginalCsrClientCallServer = *(DWORD*)ImportAddress;
  *(DWORD*)ImportAddress=(DWORD)NewCsrClientCallServer;
...

vitos · 22.03.2012

mikepit81 · 22.03.2012

Прямо дискуссия какае-то

Klez · 22.03.2012

зачем тебе нужно перехватывать CsrClientCallServer? трояна чтоли на Delphi пишешь?

mikepit81 сказав(ла):
которая всегда будет возвращать «успех».

Код:

return 0;

mikepit81 · 22.03.2012

зачем тебе нужно перехватывать CsrClientCallServer? трояна чтоли на Delphi пишешь?

Троян на Делфи ? Тышо ... нет конечно. Я хочу таким способом проинжектиться к процессу в windows 7. А это цитаты с статьи, которую я нашел.

Klez · 22.03.2012

mikepit81 сказав(ла):
Я хочу таким способом проинжектиться к процессу в windows 7. А это цитаты с статьи, которую я нашел.

Это как лечить зуб через задницу, с помощью отбойного молотка.

Для указанной задачи есть OpenProcess/VirtualAllocEx/WriteProcessMemory/CreateRemoteThread, есть хуки, и еще дохуя разных способов. Но такого извращенного я еще не встречал

Ты в курсе что параметры функции которую ты пытаешься перехватить зависят даже от билда операционной системы?

caballero · 22.03.2012

тогда уж cbuilder бери - как минимум родной для таких штук С++

mikepit81 · 23.03.2012

Klez сказав(ла):
Это как лечить зуб через задницу, с помощью отбойного молотка.

Для указанной задачи есть OpenProcess/VirtualAllocEx/WriteProcessMemory/CreateRemoteThread, есть хуки, и еще дохуя разных способов. Но такого извращенного я еще не встречал

Ты в курсе что параметры функции которую ты пытаешься перехватить зависят даже от билда операционной системы?

К сожалению те функции, которые были описаны не подходят для решения данной задачи, т.к. они не работают в висте и семерке (точнее работают, но функция "CsrClientCallServer" проверяет процесс чужой или свой. и если процесс чужой - то инжекта не происходит. можно инжектиться только в свой процесс с помощью этих функций). А про параметры функции - это уже отдельный разговор, который не представляет никакой проблемы.

caballero сказав(ла):
тогда уж cbuilder бери - как минимум родной для таких штук С++

пока это самый лучший предложенный вариант

vitos · 23.03.2012

mikepit81 сказав(ла):
К сожалению те функции, которые были описаны не подходят для решения данной задачи, т.к. они не работают в висте и семерке (точнее работают, но функция "CsrClientCallServer" проверяет процесс чужой или свой. и если процесс чужой - то инжекта не происходит. можно инжектиться только в свой процесс с помощью этих функций). А про параметры функции - это уже отдельный разговор, который не представляет никакой проблемы.

пока это самый лучший предложенный вариант

Мля ну почитай уже чтоли как stub dll сделать или хук. Если уж берешься чужие программы курочить так не худо бы хотябы Рихтера пробежать по диагонали.

Klez · 23.03.2012

mikepit81 сказав(ла):
К сожалению те функции, которые были описаны не подходят для решения данной задачи, т.к. они не работают в висте и семерке

прекрасно работают. Я тебе привел функции которые реально используются в моей программе. Программа протестирована и отлично работает на следующих системах:
- Win XP SP3 x86
- Win 7 x86
- Win 7+SP1 x86
- Win 7 x64
- Win 7+SP1 x64

Эту программу я уже с год под семеркой пользую - все ОК.

Прекрасно работает в обоих режимах - 32 и 64 битном (достаточно просто переключить target platform на x64 при комплияции). Работает в том числе и с включенным UAC (тут конечно нужно подшаманить с манифестом и пермиссиями).

Fregl · 29.03.2012

в принципе даже если не стебаться, то перевести вышеуказанный код на делфи не составит труда, просто подставить нужные типы параметров и метод вызова процедур (скорее всего cdecl или stdcall)

Ved'mak · 31.03.2012

Вот хороший цикл статей, уже ставший класикой: w w w .wasm. r u/article.php?article=apihook_1 (за пробелы сори, это мой третий пост здесь)

mikepit81 · 30.05.2012

спасибо, посмотрю

vitos · 30.05.2012

mikepit81 сказав(ла):
спасибо, посмотрю

%D1%81%D0%BB%D0%BE%D1%83%D0%BF%D0%BE%D0%BA-%D0%BF%D0%B5%D1%81%D0%BE%D1%87%D0%BD%D0%B8%D1%86%D0%B0-%D1%83%D0%B4%D0%B0%D0%BB%D1%91%D0%BD%D0%BD%D0%BE%D0%B5-140901.jpeg

Из С+ в Delphi, Требуется небольшая помощь

Додаткові параметри

mikepit81

vitos

mikepit81

Klez

mikepit81

Klez

caballero

mikepit81

vitos

Klez

Fregl

Ved'mak

Привіт!

mikepit81

vitos